Entrée en vigueur de la nouvelle loi « Informatique et Libertés » et de son nouveau décret d’application

Le décret n° 2019-536, publié le 30 mai 2019, constitue la dernière étape de la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale. Le cadre juridique national relatif à la protection des données est dorénavant stabilisé. La CNIL a rendu un avis sur ce texte le 9 mai 2019.

L’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes :

  • modifications de la loi « Informatique et Libertés », par la loi du 20 juin 2018, puis de son décret d’application, par décret du 1er août 2018 ;
  • réécriture et mise en cohérence de cette loi, par ordonnance du 12 décembre 2018 ;
  • élaboration d’un nouveau décret d’application de la loi, daté du 29 mai 2019 et entré en vigueur le 1er juin.

La CNIL s’est prononcée sur l’ensemble de ces dispositions, dans la perspective constante d’assurer un haut niveau de protection des données en France dans le respect des normes européennes.

Tout comme l’ordonnance du 12 décembre 2018, le décret du 29 mai 2019 a pour objets principaux d’améliorer la lisibilité du cadre juridique national et de mettre en cohérence les dispositions réglementaires avec le droit européen et les mesures législatives nationales prises pour son application. Dans son avis du 9 mai 2019 sur le projet de décret, la CNIL a estimé que le texte atteignait ces objectifs.

Elle a néanmoins émis plusieurs observations en vue d’améliorer la sécurité juridique assurée par le texte aux personnes concernées comme aux organismes traitant des données, qui doivent disposer de règles claires, lisibles et cohérentes avec le RGPD. Elle a également souhaité préciser l’encadrement de certaines de ses procédures, notamment en matière de contrôle, de mise en demeure ou de sanction.

De nombreuses observations de la CNIL ont été prises en compte par le Gouvernement dans le décret publié.  

Ce décret marque enfin l’achèvement du processus d’adaptation du droit national au RGPD : sa publication permet l’entrée en vigueur de l’ensemble du nouveau cadre juridique « Informatique et Libertés ». La loi et son décret d’application, profondément remaniés, permettent dorénavant aux personnes comme aux organismes traitant des données d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données à caractère personnel.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/entree-en-vigueur-de-la-nouvelle-loi-informatique-et-libertes-et-de-son-nouveau-decret-dapplication

1 an de RGPD : une prise de conscience inédite

Le RGPD, entré en application il y a un an, a créé une dynamique remarquable pour les particuliers et les professionnels. La CNIL a reçu un nombre record de plaintes et elle développe de nouveaux outils de conformité pour garantir à tous la protection des données personnelles.

1-un-rgpd-chiffres.jpg

Retour sur une année exceptionnelle

L’entrée en application du RGPD a marqué une forte prise de conscience des enjeux de protection des données, en France comme en Europe. Cela s’est traduit pour les particuliers, sur la période de mai 2018 à mai 2019, par :

  • une augmentation considérable des plaintes adressées à la CNIL : plus de 11 900 plaintes en France (+ 30 %) et 144 376 plaintes au niveau européen ;
  • une coopération européenne engagée et opérationnelle entre les CNIL européennes sur 1 013 procédures concernant plusieurs milliers de personnes, dont plus de 800 dans lesquelles la CNIL est impliquée. 

70 % des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données.

Sondage IFOP réalisé en avril 2019 sur un échantillon de 1 000 personnes, représentatif de la population française de 18 ans et plus, selon la méthode des quotas.

Cette prise de conscience se manifeste également chez les professionnels, qui s’approprient progressivement les nouveaux dispositifs du RGPD :

  • 2 044 notifications de violation de données en France et 89 271 au niveau européen ;
  • plus de 19 000 délégués à la protection des données (personnes physiques ou morales) ont été désignés par plus de 53 000 organismes ;
  • un afflux de demandes d’information de la part des professionnels souhaitant s’approprier ce nouveau cadre qui ont identifié la CNIL comme une source d’information de référence.

Témoin de cette mobilisation croissante des professionnels et particuliers sur la protection des données, le site de la CNIL a cumulé plus de 8,1 millions de visites depuis un an.

RGPD, an II : réussir le RGPD, clé de voûte d’un numérique de confiance

L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel. Les attentes de la société civile et des acteurs économiques sont très fortes et ce modèle suscite des intérêts à travers le monde entier.

L’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte. Dans l’instruction des plaintes et dans ses contrôles, la CNIL vérifiera donc pleinement le respect des nouvelles exigences. Elle en tirera au besoin toutes les conséquences, y compris en termes de sanction. Mais comme par le passé, elle fera preuve de discernement dans son action répressive, en tenant compte, notamment, de la bonne foi des organismes.

Pour soutenir les opérateurs dans leur dynamique de conformité et réussir la mise en œuvre du RGPD,  la CNIL va amplifier ses actions d’accompagnement à destination des professionnels :

  • la sensibilisation à destination des collectivités territoriales, via un plan d’accompagnement qui se matérialise par la diffusion d’un guide pratique de sensibilisation à destination des plus petites collectivités, de fiches thématiques (téléservices, sécurité, DPO et collectivités, etc.) et d’un module dédié dans sa formation en ligne ouverte à tous ;
  • l’accompagnement des start-ups grâce à des contenus dédiés sur le site de la CNIL : des contenus pour faire du RGPD un atout ainsi qu’un kit développeur ont déjà été publiés ;
  • l’élaboration de nouveaux cadres de référence sous la forme de référentiels (gestion des ressources humaines, gestion de la relation client, gestion des impayés, alertes professionnelles), règlements type ou listes de traitements non soumis à une analyse d’impact obligatoire ;
  • un dialogue étroit avec les professionnels, avec la sensibilisation de « têtes de réseaux » pour favoriser la montée en compétences de tous les secteurs et l’appui maintenu aux délégués à la protection des données.

Les outils pratiques au service des particuliers et professionnels

La CNIL a élaboré ces derniers mois de nombreux outils pratiques d’aide à la conformité qui restent à disposition de tous sur son site, et qu’elle continuera à enrichir et compléter :

  • pour les personnes souhaitant exercer leurs droits ou poser une question à un organisme qui gère leurs données : la CNIL leur permet de vérifier si cet organisme a désigné un délégué à la protection des données (DPO) et met à leur disposition ses coordonnées publiques via un moteur de recherche dédié ;
  • une formation en ligne ouverte à tous (MOOC) sur le RGPD depuis mars 2019, déjà suivie par plus de 35 100 personnes dont 6 900 ayant obtenu une attestation de réussite ;
  • un modèle de registre des activités de traitement, qui permet de recenser l’ensemble des traitements de données et de disposer d’une vue d’ensemble des actions autours des données personnelles ;
  • un logiciel libre pour mener une analyse d’impact sur la protection des données (AIPD), obligatoire pour certains traitements.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedit

La CNIL lance sa formation en ligne sur le RGPD ouverte à tous

 Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.

mooc atelier rgpd

Cet outil de formation gratuit est accessible à tous. Une fois son compte créé, l’utilisateur progresse à son rythme. Une attestation de suivi sera délivrée dans le Mooc à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module.

A qui s’adresse le MOOC « L’Atelier RGPD » ?

Ce Mooc s’adresse principalement aux Délégués à la Protection des données (DPO) et futurs délégués et aux professionnels voulant appréhender le sujet RGPD. Il convient aussi bien aux profils techniques que juridiques et peut être suivi par toute personne curieuse de cette matière !

Que contient le MOOC « L’Atelier RGPD » ?

Ce Mooc a été élaboré par les juristes et experts de la CNIL. Il est composé de vidéos, de textes, d’illustrations et de cas concrets et propose des quizz et des évaluations.

Le Mooc est structuré en 4 modules avec une durée moyenne de 5h :

 mooc module 1 - le rgpd et ses notions cles

Module 1 : le RGPD et ses notions clés

  • Unité 1 : L’évolution de la protection des données personnelles
  • Unité 2 : Traitement des données à caractère personnel
  • Unité 3 : À qui s’applique le RGPD ?
mooc module 2 - les prinicipes de la protection des donnees

Module 2 : les principes de la protection des données

  • Unité 1 : Les 8 règles d’or
  • Unité 2 : Finalité du traitement
  • Unité 3 : Licéité du traitement
  • Unité 4 : Minimisation des données
  • Unité 5 : Protection particulière de certaines données
  • Unité 6 : Conservation limitée des données
  • Unité 7 : Obligation de sécurité
  • Unité 8 : Transparence à l’égard des personnes concernées
  • Unité 9 : Droits des personnes sur leurs données
  • Unité 10 : Encadrement des transferts de données hors de l’UE

 mooc module 3 - les responsabilites des acteurs

Module 3 : les responsabilités des acteurs

  • Unité 1 : Nouvelle logique de responsabilisation : l’accountability
  • Unité 2 : Partage des responsabilités
  • Unité 3 : Responsabilité spécifique des sous-traitants

mooc module 4 - le dpo et les outils de la conformite

Module 4 : le DPO et les outils de la conformité

  • Unité 1 : Le délégué à la protection des données
  • Unité 2 : Le registre
  • Unité 3 : L’analyse d’impact sur la vie privée
  • Unité 4 : La notification des violations de données
  • Unité 5 : Certification et codes de conduite

En cas de problème technique, un forum est à disposition ainsi qu’une FAQ.

Inscrivez-vous dès maintenant sur https://atelier-rgpd.cnil.fr

#AtelierRGPD

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous

RGPD : quel bilan 6 mois après son entrée en application ?

Alors que 66% des Français se disent plus sensibles qu’avant à la protection des données, la CNIL continue à recevoir toujours plus de plaintes individuelles ou collectives, 6 mois après l’entrée en application du RGPD.  

Barometre RGPD - 66% des français plus sensibles à la protection des données

Bilan factuel ou quantitatif

Une ordonnance avant la fin de l’année

La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise avant la fin de l’année. La CNIL s’est déjà prononcée pour avis sur le projet de cette ordonnance le 15 novembre.

Du côté des professionnels : une appropriation qui se poursuit

  • 32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 15 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD ;
  • 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour depuis le 25 mai ;
  • Une hausse significative des contacts avec les publics, notamment les professionnels : 178 000 appels depuis janvier 2018 et ; 246 000 consultations des FAQ en ligne (178 000 en 2017)) ;
  • 7 millions de visites sur le site de la CNIL (4,4 millions en 2017) ;
  • 130 000 téléchargements de l’outil PIA pour réaliser une analyse d’impact sur la protection des données.

Du côté des particuliers : une sensibilité en nette augmentation et une dimension plus collective de l’action

Depuis le début de l’année, la CNIL a reçu 9 700 plaintes, soit 34% de plus qu’en  2017 sur la même période.

6 000 plaintes ont été reçues depuis le 25 mai.

On constate, dans le cadre de l’instruction de ces plaintes, qu’elles sont l’occasion, pour les organismes mis en cause, de repenser leur organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès. En effet, les organismes reçoivent énormément de demandes de droit d’accès notamment, ce à quoi ils n’étaient manifestement pas assez préparés.

Selon un sondage IFOP réalisé en octobre pour la CNIL, 66% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.  Cette hausse de la sensibilité s’explique principalement par des facteurs anxiogènes exprimés par les personnes interrogées : la peur du piratage ou du vol de données et les scandales de piratages sur les réseaux sociaux. Les spam et les sollicitations commerciales émergent également dans les principaux motifs de cette sensibilisation accrue.

Face à ces inquiétudes, la connaissance du RGPD apparait globalement bonne, 65% des  Français en ayant déjà entendu parler. Néanmoins, seule une courte majorité (54%) estime à ce stade comprendre ce que le RGPD a changé sur les droits des personnes et les obligations des professionnels. Une fois mieux informés sur ce règlement, les Français portent un regard largement positif sur celui-ci, puisque 73% considèrent qu’il est efficace pour mieux protéger les données personnelles.

Sondage réalisé en ligne, du 30 au 31 octobre, auprès d’un échantillon de 1003 personnes, représentatif de la population française âgée de 18 ans et plus.

  • Trois organismes ont saisi la CNIL de plaintes collectives: la Quadrature du Net (plaintes concernant Google, Amazon, Facebook, LinkedIn et Apple, pour un total de 45 000 personnes concernées), l’association NOYB (Google) et l’ONG anglaise Privacy International (plaintes concernant 7 entreprises procédant à de la collecte à grande échelle de données en ligne).
  • Les autorités de protection européennes traitent actuellement en coopération 345 plaintes transfrontalières. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Ces plaintes soulèvent notamment des questions sur le consentement.

Du côté des autorités de protection des données : une coopération européenne opérationnelle soutenue

  • 4 plénières du Comité européen à la protection des données (CEPD) ont déjà eu lieu depuis mai ainsi que de nombreux sous-groupes de travail ;
  • 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration (la certification, les codes de conduite, les transferts de données ou encore la vidéosurveillance) ;
  • La seconde revue annuelle du Privacy Shield a eu lieu en octobre (présentation d’un rapport à venir) ;
  • Un avis a été adopté sur la proposition de Règlement et la proposition de Directive en matière d’accès aux preuves électroniques et le CEPD a été saisi par la Commission européenne pour rendre un avis sur le projet de décision d’adéquation du Japon ;

Le CEPD a validé plus de 20 listes nationales de traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD).

Les actions de la CNIL pour accompagner les professionnels

La CNIL a déjà élaboré des nouveaux outils de régulation permis par le RGPD ou la loi modifiée et d’autres initiatives sont en cours :

La publication de la liste des traitements devant faire l’objet d’une analyse d’impact ainsi que des lignes directrices synthétiques permettant aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à cette obligation ;

La consultation sur un règlement-type biométrie qui permettra de fixer un cadre exigeant et protecteur, pour lequel la CNIL a reçu 29 contributions. Ce règlement sera adopté prochainement par la CNIL ;

  • La consultation prochaine sur 5 « référentiels » relatives à la gestion clients et prospects, la gestion des impayés, les vigilances sanitaires, les ressources humaines et la gestion des cabinets médicaux.  Ces référentiels actualisent la doctrine de la CNIL au regard des nouvelles exigences du RGPD en s’appuyant sur la doctrine établie depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.). Certains de ces référentiels seront portés par la CNIL au niveau européen ;
  • L’adoption de deux référentiels de certification de compétences « DPO » après consultation (délivrance des premiers agréments envisagée au 1er semestre 2019) ;
  • Une dizaine de codes de conduite en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud » ;

Développement d’une stratégie à destination des « têtes de réseaux » afin d’assurer une diffusion plus large des principes RGPD ;

  • La conception d’un MOOC pour se familiariser avec les principes fondamentaux du RGPD (1er trimestre 2019) ;
  • Un plan d’accompagnement des collectivités locales en 2019 : guide pratique, fiches thématiques, (téléservices, sécurité, DPO et collectivités, etc.).

Pratiques abusives « Mise en conformité RGPD » : comment s’en prémunir avec la CNIL et la DGCCRF ?

Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce texte a pour objectif de mieux protéger les particuliers concernant le traitement de leurs données personnelles et de responsabiliser les professionnels.

alertefr.png

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Des sociétés profitent de l’entrée en vigueur de ce règlement pour opérer du démarchage auprès des professionnels (entreprises, administrations, associations), parfois de manière agressive, afin de vendre un service d’assistance à la mise en conformité au RGPD.

Au regard de pratiques commerciales trompeuses, la DGCCRF et la CNIL formulent plusieurs recommandations qui visent à :

  • vérifier l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD ;
  • vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps.

Dans certains cas, il peut aussi s’agir de manœuvres pour collecter des informations sur une société en vue d’une escroquerie ou d’une attaque informatique.

Parmi les principaux réflexes à avoir en cas de démarchage

Si vous recevez ce type de sollicitations, vous devez :

  • demander des informations sur l’identité de l’entreprise démarcheuse permettant de faire des vérifications sur internet ou auprès des syndicats de votre profession ;
  • vous méfier de telles communications prenant les formes d’une information officielle émanant d’un service public ;
  • lire attentivement les dispositions contractuelles ou pré-contractuelles ;
  • prendre le temps de la réflexion et de l’analyse de l’offre ;
  • diffuser ces conseils de vigilance auprès de vos services et des personnels qui sont appelés à traiter ce type de courrier dans l’entreprise ;
  • ne payer aucune somme d’argent au motif qu’elle stopperait une éventuelle action contentieuse.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/pratiques-abusives-mise-en-conformite-RGPD-CNIL-DGCCR

Certification des compétences du DPO

Afin de permettre l’identification des compétences et savoir-faire du délégué à la protection des données (DPO), la CNIL adopte deux référentiels en matière de certification de DPO.

Une nouvelle compétence de la CNIL

La loi Informatique et Libertés, telle que modifiée par la loi du 20 juin 2018, donne à la CNIL une nouvelle compétence en matière de certification de personnes. La CNIL peut désormais adopter des référentiels de certification, et agréer les organismes chargés de délivrer cette certification.

A la suite d’une consultation publique et forte de son expérience dans l’accompagnement des Correspondants Informatique et Libertés (CIL), la CNIL adopte deux référentiels :

  • un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO.
  • un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification élaboré par la CNIL ;

Synthèse de la consultation publique

La consultation publique sur les projets de référentiels s’est déroulée entre le 23 mai et le 22 juin 2018. Près de 200 contributions ont été reçues provenant :

  • de DPO ou de futurs DPO ;
  • de responsables de traitement et de sous-traitants (entreprises, fédérations professionnelles, organismes de formation, associations, cabinets d’avocats et cabinets de conseil) ;
  • d’organismes de certification.

Les contributeurs représentent des secteurs d’activités très variés (banque, secteur public, santé, éducation, éditeur de logiciels, transport, distribution, enseignement supérieur).

Des réunions de travail ont également été organisées avec les trois associations professionnelles françaises de délégués (ADPO, AFCDP et UDPO) et une dizaine d’organismes de certification.

Cette consultation a permis d’enrichir la réflexion et de trouver le meilleur point d’équilibre entre les connaissances et compétences que doit détenir le DPO et les attentes des professionnels (organismes de certification, DPO, responsables de traitement, sous-traitant).

La certification des personnes physiques

La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.

Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.

Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.

La CNIL ne délivrera pas elle-même de certification DPO. Ce sont les organismes certificateurs, lorsqu’ils auront été agréés par la CNIL, qui délivreront la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite. La certification ne sera donc possible que lorsque les premiers agréments auront été délivrés par la CNIL aux organismes certificateurs. Les personnes intéressées par cette certification pourront alors se rapprocher de ces organismes en vue d’être certifiés.

L’agrément des organismes certificateurs par la CNIL

Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ). La demande devra respecter les exigences prévues dans le référentiel d’agrément.

Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels. Les éventuelles modifications du référentiel d’agrément ou du référentiel de certification seront sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.

Ces référentiels pourront être partagés avec les autres autorités de protection européennes au sein du CEPD (Comité européen de la protection des données).

L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.


[Infographie] Certification DPO

[Infographie] La Certification DPO

Questions-réponses pour les candidats à la certification

  • Dois-je être certifié pour être désigné DPO ?
    Non, la certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données.
  • La certification de compétences de DPO est-elle ouverte aux personnes morales ?
    Non, la certification de compétences de DPO de la CNIL est réservée aux personnes physiques.
  • Quels sont les avantages de la certification de compétences de DPO de la CNIL ?
    La certification de compétences de DPO de la CNIL permet aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement européen sur la protection des données. C’est également un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées, ses clients, fournisseurs, salariés ou agents.
  • Quelles sont les conditions préalables pour pouvoir passer l’examen de certification ?
    Pour pouvoir accéder à l’épreuve écrite, le candidat doit remplir l’une des conditions préalables suivantes :
    • justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou
    • justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.
  • En quoi consiste l’épreuve du référentiel ?
    L’épreuve consiste en un QCM d’au moins 100 questions dont 30% sont énoncées sous forme de cas pratiques. Les questions portent sur 3 domaines (détail en annexe du référentiel d’agrément) et visent à tester les 17 compétences et savoir-faire listés dans le référentiel de certification (par exemple, savoir identifier la base juridique d’un traitement ou encore savoir élaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel).
    L’épreuve est réussie si au moins 75% des réponses sont exactes (dont 50% de bonnes réponses dans chacun des domaines).
  • Combien de temps est valable ma certification de compétences ?
    La certification est valable 3 ans à compter de sa délivrance.
  • Comment renouveler ma certification ?
    A l’issue des 3 ans de validité, le renouvellement est possible à condition de réussir une nouvelle épreuve écrite de même format que l’épreuve initiale et de démontrer une expérience professionnelle d’au moins un an dans des projets, activités ou tâches en lien avec les missions du DPO.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/certification-des-competences-du-dpo-la-cnil-adopte-deux-referentiels